Отслеживание утечек персональных данныхMonitor for leaks of personal data

Для отслеживания использования и транспортировки персональных данных можно использовать ряд средств. В этой статье описаны три популярных средства.There are many tools that can be used to monitor the use and transport of personal data. This topic describes three tools that work well.

Средства для отслеживания использования и транспортировки персональных данных

На этом рисунке:In the illustration:

  • Сначала используйте отчеты Office 365 для защиты от потери данных, чтобы отслеживать персональные данные в SharePoint Online, OneDrive для бизнеса и передаваемой электронной почте. Они обеспечивают максимальный уровень детализации для отслеживания персональных данных. Тем не менее эти отчеты включают не все службы в Office 365.Start with Office 365 data loss prevention reports for monitoring personal data in SharePoint Online, OneDrive for Business, and email in transit. These provide the greatest level of detail for monitoring personal data. However, these reports don’t include all services in Office 365.

  • После этого используйте политики оповещений и журнал аудита Office 365, чтобы отслеживать действия в службах Office 365. Настройте текущее отслеживание или выполните поиск в журнале аудита, чтобы исследовать инцидент. Журнал аудита Office 365 можно использовать в различных службах Office 365, таких как Sway, PowerBI, Dynamics 365, Microsoft Flow, Microsoft Teams, OneDrive для бизнеса и SharePoint Online, а также для обнаружения электронных данных, анализа действий администратора, отслеживания передаваемой почты и неактивных почтовых ящиков. Беседы Skype включаются в неактивные почтовые ящики.Next, use alert policies and the Office 365 audit log to monitor activity across Office 365 services. Setup ongoing monitoring or search the audit log to investigate an incident. The Office 365 audit log works across Office 365 services — Sway, PowerBI, eDiscovery, Dynamics 365, Microsoft Flow, Microsoft Teams, Admin activity, OneDrive for Business, SharePoint Online, mail in transit, and mailboxes at rest. Skype conversations are included in mailboxes at rest.

  • Наконец, используйте Microsoft Cloud App Security для отслеживания файлов с конфиденциальными данными в службах SaaS других поставщиков. В ближайшее время вы сможете использовать типы конфиденциальной информации Office 365 и единообразные метки в Azure Information Protection и Office с Cloud App Security. Вы можете настроить политики, которые применяются ко всем или отдельным (например, Box) приложениям SaaS. С помощью Cloud App Security невозможно обнаруживать файлы в Exchange Online, в том числе файлы, вложенные в сообщения электронной почты.Finally, Use Microsoft Cloud App Security to monitor files with sensitive data in other SaaS providers. Coming soon is the ability to use Office 365 sensitive information types and unified labels across Azure Information Protection and Office with Cloud App Security. You can setup policies that apply to all of your SaaS apps or specific apps (like Box). Cloud App Security doesn’t discover files in Exchange Online, including files attached to email.

Отчеты о защите от потери данных в Office 365Office 365 data loss prevention reports

Создав политики защиты от потери данных, необходимо убедиться, что они работают правильно и помогают обеспечивать соответствие требованиям. С помощью отчетов о защите от потери данных в Office 365 можно быстро просматривать количество совпадений, переопределений и ложных срабатываний касательно таких политик, динамику их использования, а также фильтровать отчеты различными способами и отображать дополнительные сведения, выбирая точки на линии графика.After you create your data loss prevention (DLP) policies, you’ll want to verify that they’re working as you intended and helping you to stay compliant. With the DLP reports in Office 365, you can quickly view the number of DLP policy matches, overrides, or false positives; see whether they’re trending up or down over time; filter the report in different ways; and view additional details by selecting a point on a line on the graph.

Отчеты о защите от потери данных позволяют:You can use the DLP reports to:

  • Сосредоточиться на определенных временных промежутках и определить причины скачков и тенденций.Focus on specific time periods and understand the reasons for spikes and trends.

  • выявить бизнес-процессы, которые нарушают политики защиты от потери данных вашей организации;Discover business processes that violate your organization’s DLP policies.

  • Определить влияние политик защиты от потери данных на работу вашей организации.Understand any business impact of the DLP policies.

  • просматривать основания, которые пользователи предоставляют для отправки сообщения о ложном срабатывании или для переопределения политики при ознакомлении с подсказкой политики;View the justifications submitted by users when they resolve a policy tip by overriding the policy or reporting a false positive.

  • проверить соответствие требованиям конкретной политики защиты от потери данных, отображая все совпадения с правилами этой политики;Verify compliance with a specific DLP policy by showing any matches for that policy.

  • просмотреть список файлов с конфиденциальными данными, который соответствует правилам политик защиты от потери данных вашей организации, в области сведений.View a list of files with sensitive data that matches your DLP policies in the details pane.

Кроме того, эти отчеты можно использовать для точной настройки ваших политик защиты от потери данных при их выполнении в тестовом режиме.In addition, you can use the DLP reports to fine tune your DLP policies as you run them in test mode.

Отчеты о защите от потери данных расположены в Центре безопасности и соответствия требованиям. Перейдите в раздел "Отчеты" > "Просмотр отчетов". В разделе "Защита от потери данных (DLP)" выберите "Совпадения по правилу и политике защиты от потери данных" или "Ложные срабатывания и переопределения функции защиты от потери данных".DLP reports are in Security and Compliance center. Navigate to Reports > View reports. Under Data loss prevention (DLP), go to either DLP policy and rule matches or DLP false positives and overrides.

Дополнительные сведения см. в статье Просмотр отчетов о защите от потери данных.For more information, see View the reports for data loss prevention.

Отчет, в котором показаны совпадения по политике защиты от потери данных

Журнал аудита Office 365 и политики оповещенийOffice 365 audit log and alert policies

Журнал аудита Office 365 включает события из Exchange Online, SharePoint Online, OneDrive для бизнеса, Azure Active Directory, Microsoft Teams, Power BI, Sway и других служб Office 365.The Office 365 audit log contains events from Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Power BI, Sway, and other Office 365 services.

Центр безопасности и соответствия требованиям Office 365 поддерживает два способа отслеживания журнала аудита Office 365 и создания отчетов о нем:The Office 365 Security and Compliance Center provides two ways to monitor and report against the Office 365 audit log:

  • настройка политик оповещений, просмотр оповещений и отслеживание тенденций: используйте новую политику оповещений и инструменты панели мониторинга оповещений в Центре безопасности и соответствия требованиям Office 365;Setup alert policies, view alerts, and monitor trends — Use the new alert policy and alert dashboard tools in the Office 365 Security & Compliance Center.

  • непосредственный поиск в журнале аудита: поиск можно выполнять по всем событиям в указанном диапазоне дат. Кроме того, можно фильтровать результаты на основе заданных условий, например по пользователю, выполнившему действие, по действию или целевому объекту.Search the audit log directly — Search for all events in a specified date rage. Or you can filter the results based on specific criteria, such as the user who performed the action, the action, or the target object.

Группы по обеспечению информационной безопасности и соответствия требованиям могут использовать эти средства для упреждающей проверки действий пользователей и администраторов в службах Office 365. Можно настроить автоматические оповещения, чтобы отправлять по электронной почте уведомления об определенных действиях в конкретных семействах веб-сайтов (например, о предоставлении общего доступа к содержимому с веб-сайтов, на которых имеются данные, подпадающие под действие регламента GDPR). Таким образом, эти группы смогут отслеживать соблюдение пользователями корпоративных политик безопасности либо предоставить им дополнительные услуги по обучению.Information security and compliance teams can use these tools to proactively review activities performed by both end users and administrators across Office 365 services. Automatic alerts can be configured to send email notifications when certain activities occur on specific site collections - for example when content is shared from sites known to contain GDPR related information. This allows those teams to follow up with users to ensure that corporate security policies are followed, or to provide additional training.

Кроме того, группы по обеспечению информационной безопасности могут выполнять поиск в журнале аудита для исследования потенциальных нарушений безопасности данных, определяя как первопричины, так и степень этих нарушений. Эта встроенная возможность позволяет обеспечить соответствие требованиям статей 33 и 34 регламента GDPR, согласно которым в течение определенного периода времени о нарушении безопасности данных требуется уведомить как надзорный орган GDPR, так и самих субъектов данных. Записи журнала аудита сохраняются в службе только на протяжении 90 дней. Тем не менее эти журналы часто рекомендуется хранить в течение большего периода времени (и так поступают многие организации).Information security teams can also search the audit log to investigate suspected data breaches and determine both root cause and the extent of the breach. This built in capability facilitates compliance with article 33 and 34 of the GDPR, which require notifications be provided to the GDPR supervisory authority and to the data subjects themselves of a data breach within a specific time period. Audit log entries are only retained for 90 days within the service - it is often recommended and many organizations required that these logs be retained for longer periods of time.

Доступны решения, которые обеспечивают подписку на единые журналы аудита с помощью API действий управления Microsoft, сохранение записей журналов (при необходимости) и предоставление расширенных панелей мониторинга и оповещений. Пример такого решения — Microsoft Operations Management Suite (OMS).Solutions are available which subscribe to the Unified Audit Logs through the Microsoft Management Activity API and can both store log entries as needed, and provide advanced dashboards and alerts. One example is Microsoft Operations Management Suite (OMS).

Дополнительные сведения о политиках оповещений и поиске в журнале аудита:More information about alert policies and searching the audit log:

Microsoft Cloud App SecurityMicrosoft Cloud App Security

Microsoft Cloud App Security позволяет обнаруживать другие приложения SaaS, используемые в ваших сетях, и конфиденциальные данные, которые отправляются в эти приложения или из них.Microsoft Cloud App Security helps you discover other SaaS apps in use across your networks and sensitive data that is sent to and from these apps.

Microsoft Cloud App Security — это полнофункциональная служба, обеспечивающая глубокую наглядность, детальные элементы управления и улучшенную защиту облачных приложений от угроз. Она позволяет идентифицировать более чем 15 000 облачных приложений в сети на всех устройствах, гарантируя постоянную оценку и анализ рисков. Отпадает необходимость в агентах: из брандмауэров и прокси-серверов собираются полные контекстные данные об использовании облачных решений и теневых ИТ.Microsoft Cloud App Security is a comprehensive service providing deep visibility, granular controls and enhanced threat protection for your cloud apps. It identifies more than 15,000 cloud applications in your network-from all devices-and provides risk scoring and ongoing risk assessment and analytics. No agents required: information is collected from your firewalls and proxies to give you complete visibility and context for cloud usage and shadow IT.

Для лучшего понимания вашей облачной среды доступная в Cloud App Security функция исследования позволяет получить подробные данные обо всех действиях, файлах и учетных записях для санкционированных и управляемых приложений. Вы можете получить детальные сведения на уровне файлов и определить пути перемещения данных в облачных приложениях.To better understand your cloud environment, Cloud App Security investigate feature provides deep visibility into all activities, files and accounts for sanctioned and managed apps. You can gain detailed information on a file level and discover where data travels in the cloud apps.

Например, на рисунке ниже приведены две политики Cloud App Security, которые помогут обеспечить соответствие требованиям регламента GDPR.For examples, the following illustration demonstrates two Cloud App Security policies that can help with GDPR.

Примеры политик Cloud App Security

Первая политика оповещает вас о предоставлении общего доступа к предопределенному атрибуту личных сведений или выбранному вами настраиваемому выражению за пределами организации из указанных приложений SaaS.The first policy alerts when files with a predefined PII attribute or custom expression that you choose is shared outside the organization from the SaaS apps that you choose.

Вторая политика блокирует скачивание файлов на любое неуправляемое устройство. Вы выбираете искомые атрибуты в файлах и приложения SaaS, к которым необходимо применить политику.The second policy blocks downloads of files to any unmanaged device. You choose the attributes within the files to look for and the SaaS apps you want the policy to apply to.

В ближайшее время в Cloud App Security будут представлены следующие типы атрибутов:These attribute types are coming soon to Cloud App Security:

  • типы конфиденциальной информации Office 365;Office 365 sensitive information types

  • единообразные метки в Office 365 и Azure Information Protection.Unified labels across Office 365 and Azure Information Protection

Панель мониторинга Cloud App SecurityCloud App Security dashboard

Если вы еще не начали использовать Cloud App Security, сначала запустите это решение. Получите доступ к Cloud App Security по следующему адресу: https://portal.cloudappsecurity.com.If you haven’t yet started to use Cloud App Security, begin by starting it up. To access Cloud App Security: https://portal.cloudappsecurity.com.

Примечание. Обязательно установите флажок "Автоматически сканировать файлы на наличие меток классификации Azure Information Protection" (в общих параметрах), прежде чем приступить к работе с Cloud App Security или назначить метки. После настройки Cloud App Security выполняет повторное сканирование имеющихся файлов только после их изменения.Note: Be sure to enable ‘Automatically scan files for Azure Information Protection classification labels’ (in General settings) when getting started with Cloud App Security or before you assign labels. After setup, Cloud App Security does not scan existing files again until they are modified.

Панель мониторинга со сведениями об оповещениях

Дополнительные сведения:More information:

Примеры политик файлов и действий для обнаружения случаев предоставления общего доступа к персональным даннымExample file and activity policies to detect sharing of personal data

Обнаружение случаев предоставления общего доступа к файлам, содержащим личные сведения — номер кредитной картыDetect sharing of files containing PII — Credit card number

Отправка оповещений о случаях предоставления общего доступа к файлу, содержащему номер кредитной карты, из утвержденного облачного приложения.Alert when a file containing a credit card number is shared from an approved cloud app.

Элемент управленияControl НастройкиSettings
Тип политикиPolicy type Политика файловFile policy
Шаблон политикиPolicy template Без шаблонаNo template
Серьезность политикиPolicy severity ВысокаяHigh
КатегорияCategory Защита от потери данныхDLP
Параметры фильтраFilter settings

Уровень доступа = "Общедоступный (Интернет)", "Общедоступный", "Внешний"Access level = Public (Internet), Public, External

Приложение = <select apps> (используйте этот параметр, чтобы отслеживать только определенные приложения SaaS)App = <select apps> (use this setting if you want to limit monitoring to specific SaaS apps)

Применимо кApply to Всем файлам, всем владельцамAll files, all owners
Проверка содержимогоContent inspection

Включает файлы, которые соответствуют текущему выражению: "Все страны": "Финансы": "Номер кредитной карты"Includes files that match a present expression: All countries: Finance: Credit card number

Флажок "Не требовать наличие релевантного контекста": снят (будут учитываться как ключевые слова, так и регулярное выражение)Don’t require relevant context: unchecked (this will match keywords as well as regex)

Включает файлы с хотя бы 1 совпадениемIncludes files with at least 1 match

Флажок "Снять маску с последних четырех символов нарушения": установленUnmask the last 4 characters of the violation: checked

ОповещенияAlerts

Флажок "Создать оповещение для каждого соответствующего файла": установленCreate an alert for each matching file: checked

Ежедневный лимит оповещений: 1000Daily alert limit: 1000

Флажок "Выбрать оповещение по электронной почте": установленSelect an alert as email: checked

Получатель: infosec@contoso.comTo: infosec@contoso.com

УправлениеGovernance

Microsoft OneDrive для бизнесаMicrosoft OneDrive for Business

Придание конфиденциального статуса: установите флажок "Удалить доступ для внешних пользователей"Make private: check Remove External Users

Все другие флажки: снятыAll other settings: unchecked

Microsoft SharePoint OnlineMicrosoft SharePoint Online

Придание конфиденциального статуса: установите флажок "Удалить доступ для внешних пользователей"Make private: check Remove External Users

Все другие флажки: снятыAll other settings: unchecked

Похожие политики:Similar policies:

  • обнаружение случаев предоставления общего доступа к файлам, содержащим личные сведения — адрес электронной почты;Detect sharing of Files containing PII - Email Address

  • обнаружение случаев предоставления общего доступа к файлам, содержащим личные сведения — номер паспорта.Detect sharing of Files containing PII - Passport Number

Обнаружение данных о клиентах или персонале в приложении Box или OneDrive для бизнесаDetect Customer or HR Data in Box or OneDrive for Business

Отправка оповещений о передаче файла с меткой "Данные клиента" или "Данные о персонале" в OneDrive для бизнеса или в приложение Box.Alert when a file labeled as Customer Data or HR Data is uploaded to OneDrive for Business or Box.

Примечания.Notes:

  • Для отслеживания приложения Box необходимо настроить соединитель с помощью пакета SDK для API Connector.Box monitoring requires a connector be configured using the API Connector SDK.

  • Для этой политики требуются возможности, которые сейчас доступны только в закрытой предварительной версии.This policy requires capabilities that are currently in private preview.

Элемент управленияControl НастройкиSettings
Тип политикиPolicy type Политика действийActivity policy
Шаблон политикиPolicy template Без шаблонаNo template
Серьезность политикиPolicy severity ВысокаяHigh
КатегорияCategory Управление общим доступомSharing Control
Выполнение действий надAct on Одиночное действиеSingle activity
Параметры фильтраFilter settings

Тип действия = отправка файлаActivity type = Upload File

Приложение = Microsoft OneDrive для бизнеса и BoxApp = Microsoft OneDrive for Business and Box

Метка классификации (сейчас доступна в закрытой предварительной версии): Azure Information Protection = "Данные клиента", "Управление персоналом — данные о зарплате", "Управление персоналом — данные о сотрудниках"Classification Label (currently in private preview): Azure Information Protection = Customer Data, Human Resources—Salary Data, Human Resources—Employee Data

ОповещенияAlerts

Флажок "Создать оповещение": установленCreate an alert: checked

Ежедневный лимит оповещений: 1000Daily alert limit: 1000

Флажок "Выбрать оповещение по электронной почте": установленSelect an alert as email: checked

Получатель: infosec@contoso.comTo: infosec@contoso.com

УправлениеGovernance

Все приложенияAll apps

Флажок "Поместить пользователя в карантин": установленPut user in quarantine: check

Все другие флажки: снятыAll other settings: unchecked

Office 365Office 365

Флажок "Поместить пользователя в карантин": установленPut user in quarantine: check

Все другие флажки: снятыAll other settings: unchecked

Похожие политики:Similar policies:

  • обнаружение скачиваний данных о клиентах или персонале в больших объемах — отправка оповещений о случаях, когда отдельный пользователь в течение короткого периода времени скачивает много файлов, содержащих данные о клиентах или персонале;Detect large downloads of Customer data or HR Data — Alert when a large number of files containing customer data or HR data have been detected being downloaded by a single user within a short period of time.

  • обнаружение случаев предоставления общего доступа к данным о клиентах или персонале — отправка оповещений о случаях предоставления общего доступа к данным о клиентах или персонале.Detect Sharing of Customer and HR Data — Alert when files containing Customer or HR Data are shared.